零信任商业价值综述 2023

@2023云安全联盟大中华区－保留所有权利。你可以在你的电脑上下载、储存、展示、查看及打印，或者访问云安全联盟大中华区官网（）。须遵守以下a）本文只可作个人、信息获取、非商业用途b）本文内容不得篡改c）本文不得转发；（d）该商标、版权或其他声明不得删除。在遵循中华人民共和国著作权法相关条款情况下合理使用本文内容，使用时请注明引用于云安全联盟大中华区。©2023云安全联盟大中华区版权所有©2023云安全联盟大中华区版权所有3致谢）：零信任研究和指导的范围必然包括云和内部部署环境以©2023云安全联盟大中华区版权所有4主要作者：JasonGarbisAlexSharpe贡献者：ElierCruzJonathanFlackNelsonSpessardJrAkinIsinkayeJoshWoodruffChristopherSteffenErikJohnsonHeverinJoyWilliamsSaifAzwarJosephRobleeAndreaKnoblauchRajeshMurthyRohiniSulatyckiMeghaKalsiLarsRuddigkeit审校者：MichaelRozaOsamaSalahCSA分析师：ErikJohnson在此感谢以上专家。如译文有不妥当之处，敬请读者联系C雅正！联系邮箱research@c-c5©2023云安全联盟大中华区版权所有5序言零信任是基于复杂多变的网络安全环境诞生的一种新的网络安全策略，它的出现同时也改变了企业的运营流程并促使了对安全合规的重视。CSA针对零信任提出了七个原则，这七个原则是让零信任比别的安全策略更为高效的核零信任的核心意味着企业对于任何访问的信任都是从零开始的，为了帮助人们理解零信任，CSA概况了三种方法，分别是以始为终、泄露总会发生、风险控制。在了解了这三种方法之后，企业可以更容易地理解零信任并接受它带本白皮书以商业价值为核心，提出了提高运营效率、减少成本、提高运营韧性、降低风险、提高合规性、降低合规成本等好处。文中包括了14种商业价值，针对各类企业的方方面面，并且它们都有着固定的格式，以供安全专家零信任现已被许多企业初步采用，其安全高效的特性被许多企业所青睐着，它的出现意味着企业将从上而下地实施着更好的安全措施。然而，这需要安全专家清晰地传达零信任的商业价值，并为此计划，才能让企业在当下的网 4 6 9 9 9 10 12 13 14 14 15 16 18 19 20 21 22 23 24 25 26 27 27©2023云安全联盟大中华区版权所 28 29 30 31 32 33 34 35 35 35 35 36 36 38摘要零信任是一个大规模的产业趋势，被全世界许多组织采用以及宣传；它带来了更好的安全性能同时减少支出并提高商业效率以及灵活性。然而，“零信任”作为一个行业专有名词存在被错误理解或者难以理解。业务领导与非安全专业人才，例如重要参与者，预算持有人，以及维护者，他们在各个组织零信任发展的道路上影响着第一步的成败。这是因为，采用零信任作为一种组织战略，从根本上讲，需要在整个企业中进行改变、支撑和投入大量的时间、精力和金钱。所以，安全人员需要传达零信任的理念给非技术以及非专业人员，从下到上直到董事会的成员。我们相信信息安全产业仍未能让从业人员简洁直接面向人群该文档主要面向人群是信息安全专家与从业者，他们希望向各个组织里的该文档次要面向人群是各个组织里的非技术、非安全方面的从业者。这份该文档为信息安全专家提供信息与思路，以此来有效沟通与展示为什么他们的组织应该投资零信任安全战略。这些沟通是为了向内部参与者展示：例如非安全方面IT人员，企业规划人员，财务与预算团队，业务线经理，应用程序所有者，企业首席高管（CEO:首席执行官，COO:首席运营官，CFO:首席财务这份白皮书使得安全专家能够向组织里的业务领导与重要参与者展示采用1.什么是零信任？零信任是一个基于若干核心原则的网络安全战略，以简单的、具有可观的积极影响方式作用于组织的架构、方式、运营。根据美国国家安全电信咨询委员（NSTAC）《零信任和可信身份管理报告》中的表述：“零信任是一个网络安全战略，假定没有任何用户和资产被隐式信任。它默认破坏已经发生或者即将发生，所以，企业范围内的用户不应该通过简单的认证就允许访问敏感信息。反而每个用户、设备、应用以及交易必须不间断地验证身份。”根据美国国家标准与技术研究院（NIST）发布的《零信任建设》（SP800-“零信任（ZT）是一个术语，它是一个不断进化的网络安全范式的集合，从基于网络边界的静态防御，到专注于用户、资产、以及资源。零信任架设没有任何隐式信任赋予物理或者网络位置（局域网或者互联网）的资产或者用户账户，或者基于资产拥有权（企业所有或者个人所有）来赋予信任。验证和授权（访问主体和设备）是独立的功能，作用在与企业资源的NIST文档还提出，零信任“不是单个架构而是一系列关于流程、系统设计和运营的指引原则，它可用作改进任意分类或者敏感等级的安全态势。”其中1Someinternationaleffortsus总体来说，零信任很大的程度不同于传统的、基于信任的“城堡护城河”物理网络边界安全架构，因为传统架构在云计算、远程办公、威胁加剧的时代老练的攻击者越来越精于利用在现代高级的分布式企业网络中暴露出的技术或者人力薄弱点，时常严重地影响网络连接稳定性。成功的网络攻击基本上险的薄弱点必须被排除。在零信任中，所有的网络数据包都是不可信的，同其他在系统中经过的数据包分别单独对待。信任等级实质上为零，所以被称之为零信任。值得注意的是，这个方法关注的是从数字系统中移除信任，而不是人零信任是一个全面的网络安全战略，包含云/多云，内部和外部伙伴/参与者用户（企业设别或者自带设备）端点，私有部署以及混合系统，包括IT（信息技术），OT（运营技术）和IoT（物联网）。零信任不是产品（尽管基于零信任的安全基础设施可以利用各种不同的产品来实施），也不需要组织剔除更换原有的安全基础设施。零信任驱动着新一代的信息安全的架构方法，使得资源与控制的进行对齐来保证最低权限的访问，保证每个网络数据包视作不可零信任方法是一个慎重和谨慎的战略，指引着组织对于基础技术的选择和部署，包括身份、设备、网络，应用和数据尽可能的安全。契合零信任的慎重决定反映了对于日渐增长的危险的认识，以及对更稳固和适应性强的安全态势的需求，利用基于风险的方法来授权访问。零信任的采用包括动态环境、严格通过慎重地采用零信任方法，组织志在通过以一个更警惕和怀疑的态度面零信任现处在被企业大量应用的早期阶段，而且是美国联邦政府新的网络安全策略的必要部分。同样地，我们期望持续关注如何成功在组织中采用零信2.对零信任的理解误区零信任安全是一个战略，不是即买即用的，或者开发即可实施的。作为一个战略，它将影响你的思维、决策、优先级和个战略意味着您的组织架构将会升级和进化到零信任架构。应用得当的话，零信任指引着您对于技术架构的选择和部署，包括身份、设备、网络、应用、数零信任不是防止数据泄露的一招致胜绝招。尽管大多数泄露仅包含数以千计的数据记录，但百万记录级别数据的泄露会使得代价成指数级上升。警惕性零信任不仅仅是技术。市面上有大量的安全技术，在明确的环境中对威胁对症下药。相比技术，零信任更关注的是人和流程，它需要的是齐心协力，把零信任并不难，但它要求安全和技术团队与业务方（这个文档的重点）建立合伙关系。这带来了组织内的文化转变，可能会一时难以适应，但当这个关3.商业价值综述纲领商业价值纲领由CSA国际云安全联盟零信任工作组编撰，其中包括几个可以始为终：这个方针鼓励人们在零信任过程的开始建立关于组织期望方向与明确的展望目标。与商业价值相关的期望结果包括减少合规成本、事故的经泄露总会发生：承认这个事实使得机构不再要求100%安全这种不现实的目风险控制：这是零信任中的关键元素。理解组织的风险偏好可以提供一个容许风险的阈值。零信任的目标帮助机构将内在风险减少至可接受范围，通过实施控制减少可能性、影响，或二者兼而有之。这可使组织变得更坚韧以及更采用基于风险的优先级将帮助组织理解和识别他们需要解决的差距。组织可以做个稳妥的决策来选择出发点–通常从小问题出发是情理之中，通过快速达成短期目标来改善安全态势并建立零信任倡议的推动力。当选择一个较小且低风险的保护面作为试点时，获得和维护领导层的接纳会更容易，这样就可传达零信任的商业价值将有效鼓励领导层来发布正确的指令，为成功的零4.商业价值4.1商业价值的含义？这一章节是为了向读者介绍普遍的核心商业概念和术语。提供了基础词汇和概念模型使得读者提出更有价值的问题，理解商业驱动因素，构筑一个具有商业意义的零信任应用案例。这一章节并不是全面的商业或者金融管理介绍，除了营利性企业之外，还有许多不同类型的组织，包括非营利性组织、政府机构，以及监管机构，它们并不是传统的企业。比如一个为了监管银行产业的联邦政府机构就不是一个“企业”，但它仍企业运作在财务或者绩效指标上，已经发展出一套全面的标准来衡量这些指标。如果你的组织是一家公开贸易的公司，就需要公开报告财务状况。这些报告对你来说是必读的，因为它们将你与组织的指标和绩效联系起来，包括面尽管并非所有以下的指标都适用于每个组织，这个列表涉及了几个你应该熟悉的指标。为了了解组织的具体情况，最明智的可能是在做了一些基础调查后，找财务部门一位友好的同事，问下他们哪些财务术语和指标是对你的组织2Therearealsoreputablewebrefe不同的角色有着不同的兴趣倾向。例如股东倾向于对健康的股价和/或可靠的股息感兴趣。另一方面，其他利益相关方对别的指标更为在乎，这根据他们4.1.2商业价值与风险企业很大程度上在乎风险。风险控制（RM）原则提出四种风险处理方式：充分。我们知道风险转移，常见于保险，并不防止事故，而且很多时候实际的缓解需要一系列的管控（技术、人员、流程）来减少风险直至可接受范围。通常来说，管控会花费金钱，消耗资源，并放慢事务的进度。由于零信任是企业的整体战略，因此一个平台和策略模型就可以为隐私、安全、合规性和第三方风险管理（TPRM）等其他领域奠定基础。零信任架构将在基础设施技内部威胁的风险对于组织来说是最难管理的，因为它涉及有效访问权限的合法用户（例如员工、前员工、承包商或者商业伙伴），他们拥有着有关组织安全条例、数据和计算机系统的内部信息。威胁可能涉及欺诈、盗窃资产、盗窃知识产权，甚至是破坏。其通常来自内部人员的事故涉及有效访问的滥用。零信任通过执行最小权限的原则，在授权对资产的访问之前，要求正确的身份证明（认证）和有效访问权（授权），以此来减少内部威胁的可能性。它还通第三方风险管理，有时被称为供应商风险管理或者供应链管理，是评估和减轻供应商（例如供应商，商业伙伴和供应链成员）引入的风险的实践。这一过程通常从关系刚形成时就开始，并持续维持，包括至关系结束时。零信任战略通过提供更好的可见性和控制来减少任何第三方安全事件的影响，并赋予供4.2信息安全的商业价值简单来说，信息安全是指对公司的数字资产、系统和数据的保护和保障。通过实施有效的安全措施，企业可以最小化未授权访问、数据泄露和网络攻击的风险，使其正常运营，维持客户和合作伙伴的信任，避免因安全事件造成的随着商业和数字化经济的普及，信息安全成为组织内部和董事会的首要关3TheInternationalStandardsOrganization(ISO注点。世界经济论坛（WEF）指出，超过60%的国内生产总值（GDP）是数字化的4，同时美国国家经济研究局（NBER）认为企业估值主要由无形资产驱动，其中包括数据和知识产权（IP）5。这些资产逐渐成为攻击和破坏的目标，（Integrity）和可用性（Availability），它们共同构成了CIA三要素。安全策如果实施得当的话，信息安全应该也可以支持企业的使命。安全性通过保护企业认为贵重的资产来减少对整个企业的风险，以此来支撑企业。信息安全的成功实施有着额外好处，可以促进对国际和国内标准和法规的合规。遵从许保护，正确的风险管理，限制对受保护数据和流程的访问，以及如何保护这些从风险管理（RM）和合规性的角度来看，信息技术（IT）和运营技术（OT）系统代表了相当大的风险来源，必须通过实施技术或者流程控制来降低风险。这些控制可以是自定义，或者像遵从法规一样通过外力来强加给它们。组织通常必须通过合规性报告或者审核流程来证明他们的控制是如何按照预期零信任通过确保现有控制按预期进行来提高安全性，并为组织提供进一步/agenda/2022/05/a-digital-silver-bullet-5BureauofEconomicResearch©2023云安全联盟大中华区版权所有加强这些控制的持续改进规划。在没有固有信任的环境中，安全团队通过使用风险框架来监视、识别、保护、检测、响应，并从感知到的和现有的威胁中修复。这有助于分清轻重缓急，因为任何组织都没有无限的资源和时间。零信任零信任不仅提高了控制效率。作为一种首要的战略和架构，零信任打破了组织内部的壁垒，将IT、安全、应用、架构和商业整合在一个统一的构想下，4.3为零信任投资做商业案例一般来说，商业案例的研究辅助组织的利益相关方做出关于的项目提案的可行性决定，并且它的使用被认为是私营和公共组织的标准实践。商业案例通常是一个文档化、结构化的提案，准备它是为了帮助组织决策者对提案的投资收益来描述投资或者项目的理由与解释。它确定了要满足的高级需求，并提供了对提案的替代解决方案的分析（包括拒绝或者推进每个选项的理由）、假设、约束、风险调整后的成本效益分析、初步收购策略。它还可能包括财务指信息安全投资和创收之间很少有足够的联系来使得计算ROI或者NPV的可行性。相反，信息安全投资通常被视为降低TCO的因素，或者作为推动商业价不同的组织有不同级别的形式、过程和架构来进行决策，并且对商业案例商业案例一个不变的方面是它必须体现商业价值，这是这份文档的主要关注点。接下来的章节提供了零信任倡议实现商业价值的14种不同方式。当你确定了适用的领域，你可以适当地量化它们，并结合到你的组织需求的商业案5.零信任的商业价值如前文所述，零信任是一个增强的安全和风险管理方式，它假定身份（真），务器、计算实例、容器或功能）在默认情况下是不可信的。所有的访问依赖于零信任需要持续投入时间、资源和预算，但作为回报，它带来了安全、技零信任不同于之前的安全方法，它们承诺了部分或全部这些好处。具体而5.1商业价值：成本节约与优化5.1商业价值：成本节约与优化为什么对企业重要：减少安全措施的总拥有成本(TCO),更高效地分配业务单位的资源，而不是一各自为政(资本支出、运营支出、人员)零信任如何帮助：减少对传统安全系统的需求，降低安全漏洞的风险，减少恢复成本，简化安全体系结构，自动化提高生产力对谁重要：关注成本降低和风险管理的高管(CFO、CISO、CIO)、IT和安全团队以及需要安全访问他们日常工作资源的员工零信任允许组织通过标准化和简化用户与设备访问来整合不同的冗余工具和技术，例如用单个访问工具替换远程访问工具(例如VPN)和本地访问工具(例如NAC)。这意味着企业可以减少购买、部署和维护冗余的基于边界的安全解决方案相关的成本。由于它们更新，零信任平台倾向于使用普遍接受的最佳实践、现有标准和广泛采用的协议，这提高了系统的互操作性，还可能消除对定制集成的需求并减少部署工具的数量。零信任安全措施通过什么方式零信任可以降低连接和宽带成本，特别是在传统企业的IT基础设施中。组织可以减少或消除对MPLS和SD-WAN等昂贵的专用链路的需求，并依赖互联网作为其公司网络。这种方法消除了对边界的依赖，允许每个用户到每个资源的点对点访问，从而大幅度节省了站点间网络或者通过数据中心回程一切的相关成本。零信任可以改进流程，发现更多节约成本的机会。通过自动执行访问请求和审批来提高安全流程的效率，减少人工干预，从而减少管理开销并提高生产力。此外，零信任简化了安全架构，降低了管理的复杂性和开销，以及安全漏洞的风险。通过降低安全漏洞的可能性和影响，零信任降低数据泄露的总体和单个事件的成本。它可以通过限制泄露的程序直接降低成本，从而最大限度减少损失和恢复成本。它还可以通过减少数据泄露的发生，间接降低成本。此外，零信任可以通过更严格和更有效的安全控制来帮助企业减少保险开销。零信任还可能更快地准备和保护新的基础设施，因为企业可以减少在新设备上建立用户和执行安全策略所需的时间和精力。章节格式为了更容易地传递这些总体目标，我们用一页的篇幅简洁地展示它们。以5.1商业价值：成本节约与优化减少安全措施的总拥有成本（TCO），更高效地分配业务单位的资源，而减少对传统安全系统的需求，降低安全漏洞的风险，减少恢复成本，简化关注成本降低和风险管理的高管（CFO、CISO、CIO）、IT和安全团队以及零信任允许组织通过标准化和简化用户与设备访问来整合不同的冗余工具和技术，例如用单个访问工具替换远程访问工具（例如VPN）和本地访问工具（例如NAC）。这意味着企业可以减少购买、部署和维护冗余的基于边界的安全解决方案相关的成本。由于它们更新，零信任平台倾向于使用普遍接受的最佳实践、现有标准和广泛采用的协议，这提高了系统的互操作性，还可能消除零信任可以降低连接和宽带成本，特别是在传统企业的IT基础设施中。组织可以减少或消除对MPLS和SD-WAN等昂贵的专用链路的需求，并依赖互联网作为其公司网络。这种方法消除了对边界的依赖，允许每个用户到每个资源的点对点访问，从而大幅度节省了站点间网络或者通过数据中心回程一切的相零信任可以改进流程，发现更多节约成本的机会。通过自动执行访问请求和审批来提高安全流程的效率，减少人工干预，从而减少管理开销并提高生产力。此外，零信任简化了安全架构，降低了管理的复杂性和开销，以及安全漏通过降低安全漏洞的可能性和影响，零信任降低数据泄露的总体和单个事件的成本。它可以通过限制泄露的程序直接降低成本，从而最大限度减少损失和恢复成本。它还可以通过减少数据泄露的发生，间接降低成本。此外，零信零信任还可能更快地准备和保护新的基础设施，因为企业可以减少在新设5.2商业价值：运营韧性运营韧性是在任何危险造成的中断下依然可以开展业务包括关键业务和核心业务功能等运营的能力。企业运营通常完全依靠IT技术和系统可靠的IT基础架构将会对企业产生重大的破坏性影响。企业运营的基础架构系默认情况下，零信任架构中的系统和设备彼此隔离。只有通过验证和授权零信任的细粒度隔离降低了攻击者执行侦察或横向移动的能力。攻击的影响范围越小，整个系统的韧性更强。零信任平台还通过快速适应和允许访问变化的环境（例如DR站点），从而改进业务连续性和灾难恢复的准备和执行工首席运营官（COO）、首席执行官（CEO）、首席财务官（CFO）、运营团零信任策略应当基于一种由内而外的方法，企业应该深思熟虑地询问我们在对抗什么？到我们在保护什么？可以根据资产的价值来确认策略的优先级，通常至少在一定程度上是根据他们交付的服务或他们支持的流程来决定的。这采用零信任框架可以全面减少恶意行为者遍历网络的能力来降低风险，并通过高级隔离和授权来减少勒索软件的影响。正确实施零信任控制可以显著减少勒索软件或其他漏洞利用的影响范围。这在保护关键网络设施免受以网络为从运营的角度来看，由于其主动性和有效的事故最小化，它降低了与业务运营相关的风险，并允许更精简的维护团队。并且，它还提供了强大的业务持5.3商业价值：业务敏捷快速响应市场变化和商业机会的能力非常珍贵，并可对其成功产生巨大影改进的预防措施和减少的安全维护开销，使企业随时准备并专注于抓住商业机会。即使只是为安全团队腾出时间以便更好地与业务协作，也是有价值首席执行官（CEO）、首席流程官（CPO）、首席信息安全官（CISO）、首席技术官（CTO）、首席信息官（CIO）、首席运营官（COO），风险、运营团队零信任模型提供了适应不断变化的业务需求的灵活性。当员工在改变组织角色时，或者当新系统上线应用市场机遇时，访问策略可以自动调整。这使组零信任模型确保职员可以在任何地方、任何设备上安全地访问公司资源。这通过提供对资源的安全访问来促进远程工作，允许职员在保持安全标准的同时轻松访问完成工作所需的资源。通过对不同部门和团队提供资源的安全访问，允许员工更轻松地协助，并在不损害安全性的情况下共享资源，从而提高零信任通过提供统一的控制平面和策略模型来简化企业安全架构的操作，从而提高系统管理和用户访问的效率。这使得组织能够在管理风险的同时快速行动以追求商业机会。此外，设备状况、恶意软件状态以及对安全策略的更改不仅如此，零信任通过提供可应用于任何环境的全面安全框架，加快了像云计算和移动设备等新技术的采用。通过增强组织的安全态势并最小化安全漏洞的风险，零信任可以在保持严格的安全协议的同时更快、更顺畅地部署新的5.4商业价值：促进合规合规要求可能是政府或行业监管机构强加给企业的，也可能是企业为了通过获得各种认证来提高其级别而自愿采用的。在这两种情况下，组织都要求证明它符合合规标准。这些标准通常规定了各种技术和流程控制。合规报告是记录和证明这些控制是适当且有效的行为。未能满足合规要求可能会导致罚款，零信任系统需要对动态和上下文感知策略进行积极评估。因为这些策略是动态的，因此减少执行策略所需的人工工作量。而且，由于它们可以绑定到业务流程，这些系统通常可以自动生成合规报告。零信任系统可以减少执行控制和报告合规要求（创建审计文档）的成本和工作量。它们还确保组织持续合董事会、合规团队/首席合规官、治理风险合规（GRC）团队、首席财务官满足和报告合规需求通常是复杂、耗时和昂贵的。零信任会在很多种方式中减少这种开销。首先，由于零信任系统是基于上下文的自动化策略，这对于它们来说更容易实习并保持合规。这是因为策略，通常被描述成有意义的业务其次，零信任系统的控制集通常是自动文档化的。当范围内资产的策略清晰且一致时，所有流量都被加密，所有访问都被记录，证据收集的负担和时间减少，从而减少审计本身带来的组织负担。换而言之，零信任架构减少了开销5.5商业价值：维护声誉和品牌价值当今世界，网络威胁和数据泄露变得越来越普遍，安全已成为各种规模的企业的关键忧虑。数据泄漏不但会导致财务损失，还会导致声誉受损，影响公司的品牌价值和股价。所以，企业需要采取措施来增加安全性，捍卫自己的品零信任架构将强化组织作为目标，加快威胁检测和响应，并减少成功攻击的影响。这些好处将通过减少网络攻击的频率和影响来保护其声誉和品牌价企业品牌和声誉的安全和保障涉及许多利益相关者，包括批准预算的高管、部署安全系统的IT领导、确保合规的法务人员以及监视安源人员。零信任是公关消息传递和客户对数据通过实施这些措施，企业可以保护其数据免受未授权访问、盗窃和其他网络威胁。企业还可以投资于能够实时监测和响应威胁的安全监控工具。这些工总之，提高安全性和捍卫品牌价值是企业的优先任务。通过实施强大的零信任网络安全架构，对员工开展最佳实践教育，投资安全监控工具，并制定危5.6商业价值：减少IT风险管理和处理IT风险来减少安全事故的影响对于各个行业的组织来说是至关重要的，这些事故可能会严重影响业务运营、收入产生和商业声誉。减少IT风险有助于保护敏感信息、保持生产力，确保不间断的服务交付，并满足合规性组织需要一种动态和全面的方法来增强安全态势并减少相关风险。零信任架构假定不具有固有的信任，并促进动态的、基于风险的、强大的身份与访问控制，基于上下文和自适应的分段、持续监控和主动安全措施。因此，零信任减少IT风险对于包括第三方在内的各类组织利益相关者至关重要。业务领导负责通过风险减少措施来确保组织安全和减少IT风险理和监控风险减少策略的IT和安全团队。处于前端的终端用户，以及他们的采用零信任架构使组织通过实施严格的访问控制来降低网络安全事故的可能性，并确保用户和设备在访问资源前持续验证和授权，从而最小化未授权访问的风险。它还可以更好地了解和响应潜在异常活动，并创建和运行更具韧性的网络。此外，划分网络和限制横向移动可以最小化潜在事故的影响半径，确这些降低风险的措施加强了组织的整体网络安全态势，提供更强的韧性以5.7商业价值：安全地采用新技术安全地采用新技术是在不断变化的环境和不断增长的收入中保持竞争力的由于其灵活性，良好构建的零信任架构应该能够无需大量重建和相关成本即可集成新技术。零信任本质上是关于使用更广泛的上下文信息来做出访问决采用基于零信任的架构将导致任何从新云、物联网到人工智能之类的新技术的采用更加安全，因为零信任专注于保护资源（包括基于云的资产、服务、工作流、网络账号、结构化与非结构化数据等），而不仅仅是网络段或IP地例如，新的基于云的服务可以很容易地合并到企业的零信任策略模型和实施点中，并绑定到他们的身份验证系统中。这使企业可以在不牺牲安全性或生5.8商业价值：加速业务单位整合（并购）短期：由特定人员从“随时随地”访问关键业务系统，将提高并购准备效中期：由于标准化、重新架构和更改IP寻址方案，收购公司系统和网络的集成通常是昂贵、缓慢和痛苦的。这增加了成本和时间，降低并购活动的价企业兼并和收购(M&A)通常对企业具有战略重要性，涉及大量资金，并且通常具有很大的紧迫性。他们也经常失败——《哈佛商业评论》指出，70%到整合是一个多维度的问题，因为对数据和计算机系统的访问几乎是当今业务每一个方面的基础，而且访问系统可能以非常重要的方式帮助或阻碍被收购首先，在短期内，零信任系统将使正确的人（或系统）能够精确访问正确地数据和操作系统。这既应用于收购前的尽职调查，也应用于即时的收购后整合任务。关键人员的访问至关重要且时间敏感，企业必须在不损害安全性的情其次，在收购完成后的中期，零信任系统可以快速部署一致和标准化的访问方法、身份、验证和策略实施。零信任平台通常允许不对被收购公司进行完5.9商业价值：更好地利用现有投资减少运营成本和现有投资间更好的集成，提供更好的可见性和对威胁的响通过将控制简化到更少的平台，并最大程度地提高技术之间的集成，零信任可以创建一个简化的集成技术堆栈，具有更低的运营成本和更高的安全效首席信息安全官（CISO）、首席信息官（CIO）、采购、首席财务官由于零信任结构利用了常用部署的安全基础设施的最佳实践，因此组织不必为了满足需求而购买新技术，只需要当前使用的现有技术能满足控制的需例如，通常可以使用现有的身份和访问平台作为起点，并使用动态触发的多因素验证（MFA）和其他上下文分层，如设备运行状况和位置，来提供更粒度的访问控制。从那时开始，网络基础设施可能会减少，但是对于拥有传统内在大多数组织中，很可能已经有一些控制和活动非常适合零信任策略，并且应该扩展以覆盖企业内更广泛的范围。通过在整体零信任策略模型中增加现有平台的利用率，组织可以开始逐步淘汰一些重点产品，以支持整合，从而提5.10商业价值：提高可视性和分析性改进并增强数据收集，并将数据转换为信息和知识，使企业能够做出与风收集和报告身份和上下文增强数据提供了跨风险领域的可见性，以及特定变更对整个环境的总体影响。这种可视性还允许更好地识别资源需求，以及决首席战略官（CSO）、首席信息官（CIO）、首席运营官（COO）、首席财IT、运营和安全团队经常被困扰于不完整、过时的资产库存和其使用信息。零信任，因为它以默认拒绝的方法运行，需要标识和/或身份验证才能使用。作为零信任体系结构的副产品，这导致了对基础设施和资产的更清晰、更这增加了对系统的可视性和更准确的库存，允许更好、更准确的访问策略改进的安全事件响应。例如，在一个激活的安全事故中，准确识别所有受影响的环境和过程允许更及时、更完整的响应。更好的可视性转变成根据业务需要修复的系统的优先级，还可以识别和监控响应的完整性。在响应期间，安全和准确和最新的库存信息以及实际使用情况的可视性还有助于根据流程的变化对当前和计划的许可成本进行适当的调整。物理设备库存有助于维护成本，5.11商业价值：改进用户体验用户生产力是企业效率、盈利能力和竞争力的核心。消除挫折和障碍也是IT是提高企业用户生产力的关键工具，但它往往是人们认为或实际的分歧来源。零信任可以消除各自为政和过时的访问系统，支持新技术的安全采用，减所有用户、首席财务官（CFO）、首席运营官（COO）、人力资源部零信任通过提高生产力、减少网络延迟、提高灵活性和提高员工满意度来改善用户体验。它使用户能够随时随地能够安全地访问资源，提高生产力，平衡工作与生活。通过更贴近用户和资源应用安全控制，可以加快访问流程，确保无缝和高效的用户体验。零信任的自适应特性使得组织能够快速响应不断变化的业务需求和威胁，提高灵活性和灵敏度。这反过来又有助于提高员工满意零信任对细粒度访问控制的关注提高了“需知”策略决策的准确性。它确尽管实施零信任通常需要对现有流程进行更改，但它提供了一个解决技术负债和现代化安全基础设施的机会。提高安全性，减少风险，增强用户体验的长期好处胜过了暂时的不便，这使得零信任成为寻求最佳化其组织的安全态势5.12商业价值：支持战略性业务计划被定义为“战略性”的业务计划对于企业获得竞争优势、推动增长和盈利通过建立稳固的安全基础，零信任使组织能够接受创新，满足监管要求，至关重要的作用。首先，在数字化转型的背景下，